#Digital

Comprendre l’IA Act en 7 questions

AI ACT

Le 1er août 2024, l’Union Européenne (UE) a adopté le règlement (UE) 2024/1689, communément appelé « RIA » ou « AI Act ». Ce texte précurseur fait de l’Europe un acteur pionnier en matière de régulation des usages de l’Intelligence Artificielle (IA).

Pour la première fois, des États tentent de définir un cadre permettant le développement éthique, sûr et transparent des Systèmes d’Intelligence Artificielle (SIA).

Dans une démarche similaire au RGPD, qui défi nit la gouvernance des données, l’AI Act veut orienter la manière dont les organisations doivent concevoir, utiliser et superviser les technologies d’IA, qu’elles soient publiques ou privées.

Mais alors quels sont les enjeux de cette réglementation ? Quelles obligations introduit-elle pour les entreprises ? Et comment se préparer à sa mise en oeuvre ?

Rcarré vous apporte des éléments de réponse, pour aligner vos pratiques avec l’AI Act et comprendre ses impacts sur votre activité.

1. Pourquoi chercher à réglementer l’usage de l’Intelligence Artificielle en Europe ?

Depuis 2022, les « Big Tech » accumulent les scandales liés à l’entraînement de leurs modèles d’IA sur les données de citoyens et d’entreprises européennes.

Meta (Facebook, Instagram), Google et X (anciennement Twitter) font tous l’objet d’enquêtes ou de sanctions pour utilisation sans base légale des données personnelles de leurs utilisateurs.

Un autre exemple marquant est celui de l’entreprise américaine Clearview AI, spécialiste de la reconnaissance faciale. La société a collecté sans autorisation plus de 60 milliards de photos sur le web, y compris de citoyens européens, afi n de créer sa base de données biométrique.

Pour limiter ces dérives et répondre à un fort enjeu de souveraineté, l’Union Européenne se devait d’agir. Ainsi le 1er août 2024, l’AI Act est entré en vigueur avec une application immédiate dans les 27 États membres de la communauté.

Complémentaire du RGPD, le texte adapte ses cas d’usage à l’essor des modèles d’IA.

Discutons de votre besoin en IA dès maintenant !

Parlez à notre expert !

2. Quelles sont les pratiques encadrées par l’AI ACT ?

L’AI Act considère les systèmes d’intelligence artificielle (SIA) comme des produits, qui doivent répondre à des exigences de sécurité, de fiabilité et de conformité avant leur entrée sur le marché européen.

L’AI Act a été conçu sur le postulat qu’il est nécessaire de réguler non pas les technologies, mais plutôt les usages, selon quatre niveaux de risques : inacceptable, haut, limité et minimal.

Les risques inacceptables :

L’article 5 du RIA interdit les manipulations psychologiques, la surveillance ou la catégorisation biométrique des personnes (récolte massive d’images sans autorisation appelée « moissonnage », notation sociale, profi lage). Sauf exceptions strictement encadrées, ces usages de l’IA sont considérés contraires aux droits fondamentaux des citoyens européens.

Les usages à haut risque :

Les articles 6 à 27 du règlement encadrent les usages de l’IA présentant des risques élevés.

La Commission européenne considère « à haut risque » les systèmes d’IA intégrés à certains produits ou destinés à certains secteurs d’activité déjà fortement régulés et pour lesquels une mise sur le marché est habituellement conditionnée à une validation par des organismes tiers.

L’annexe III complète ces articles en listant les domaines pour lesquels l’usage de l’IA est considéré comme hautement risqué :

  • l’identification biométrique,
  • la gestion des infrastructures critiques,
  • l’éducation et la formation professionnelle,
  • l’accès à l’emploi et la gestion des ressources humaines,
  • l’accès aux services privés et publics essentiels,
  • l’administration de la justice,
  • la répression criminelle,
  • la migration, l’asile et le contrôle aux frontières.

Les risques limités :

L’article 52 défi nit les usages présentant des risques limités, principalement liés aux systèmes d’IA destinés au grand public : assistants virtuels, chatbots et autres outils génératifs.

Le niveau de risque minimal :

La Commission ne formule aucune obligation particulière pour les systèmes d’IA considérés à très faible risque. Elle précise que la plupart des IA actuellement sur le marché sont classées dans cette catégorie, et donne l’exemple d’images générées pour un jeu vidéo, ou de filtres antispam améliorés par l’IA. L’article 95 du règlement encourage toutefois l’adoption de codes de conduite et de bonnes pratiques volontaires « élaborés par des fournisseurs ou déployeurs individuels de systèmes d’IA ».

Les cas des modèles d’IA à usage général (GPAI)

Les GPAI (General Purpose AI systems or models), sont des systèmes d’IA polyvalents, susceptibles de présenter un « risque systémique » selon les critères de la Commission. Les LLM de Mistral AI, Google ou OpenAI en sont des exemples.

Difficiles à classer en raison de leurs multiples usages, ces modèles d’IA constituent une catégorie distincte du cadre de classification par les risques. Ces systèmes sont soumis à des exigences de transparence ainsi qu’à des évaluations, supervisées directement par le Bureau européen de l’IA.

3. Votre entreprise est-elle concernée par l’AI ACT ?

La réponse est : oui, très probablement.

Le règlement défi nit les obligations des fournisseurs de systèmes d’IA : « une personne physique ou morale [ … ] ou tout autre organisme qui développe ou fait développer un système d’IA […] et le met sur le marché ». (Article 3)

Mais aussi celles de déployeurs, soit les utilisateurs de l’IA : « une personne physique ou morale […] utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel. » (Article 3, §4)

Votre entreprise devra alors se soumettre aux exigences et contrôles associé à son usage de l’IA ( risque élevé, limité ou minimal).

4. Quelles sont les exigences du règlement envers les entreprises ?

L’AI ACT défi nit des exigences plus ou moins contraignantes, selon la gravité du risque encouru par les entreprises et organisations qui ont recours à un système d’IA.

Les usages à haut risque font l’objet de contrôles renforcés : audits de conformité, dispositifs de cybersécurité, et déploiement d’un système de gestion des risques tout au long du cycle de vie du système d’IA.

Les fournisseurs de systèmes intégrés à des produits réglementés doivent obtenir un « marquage CE » et se faire référencer au sein de la base de données de l’Union européenne des SIA à haut risque.

Concernant la souveraineté et la gouvernance des données, une traçabilité complète est attendue : logs, données utilisées, historiques des versions du système, processus de réflexion ayant mené à une décision de l’IA.

Enfin, l’article 14 fait office de garde-fou et introduit la notion de supervision humaine des systèmes d’IA à haut risque « notamment au moyen d’interfaces homme-machine appropriées, un contrôle effectif par des personnes physiques pendant leur période d’utilisation. »

Les usages à risque limité sont principalement soumis à des obligations de transparence : les utilisateurs doivent être informés du fait qu’ils interagissent avec une IA et que les contenus générés pour eux sont artificiels.

Les autres usages de systèmes d’IA ne sont pas formellement réglementés. Gardez toutefois à l’esprit que le RGPD (Règlement Général sur la Protection des Données) s’applique toujours à la collecte, au traitement et au stockage des données personnelles de vos collaborateurs, clients et partenaires.

Dans tous les cas, documenter vos usages et former vos équipes permet d’aligner vos pratiques avec les exigences de maîtrise, de transparence et d’éthique promues par le texte.

Pour guider les acteurs dans l’application du règlement, la Commission européenne a publié en juillet 2025 un premier code de bonnes pratiques de l’IA à usage général, co-construit par des experts indépendants et plus de 1 000 parties prenantes (fournisseurs, TPE-PME, universitaires, et organisations de la société civile).

En trois chapitres, intitulés « Transparence », « Droits d’auteur » et « Sécurité et sûreté », ce guide cherche à aider les volontaires à se conformer aux dispositions du règlement.

5. Quelles sont les sanctions prévues en cas de non-conformité à l’AI ACT ?

Pour les entreprises et acteurs en non-conformité avec l’AI ACT, des amendes administratives sont prévues à l’article 99 du règlement. Ici encore, la réponse est graduée et adaptée au niveau de risque identifié.

35 millions d’euros ou 7% du chiffre d’affaires réalisé dans le monde peuvent sanctionner un usage inacceptable des systèmes d’IA selon l’article 5 du règlement européen.

15 millions d’euros ou 3% du CA sont prévus pour les manquements aux exigences de sûreté liées aux usages à haut risque.

Le texte précise une amende de 7,5 millions d’euros ou 1% du CA à l’encontre des entreprises coupables de fournir des informations fausses, incomplètes ou trompeuses communiquées à une autorité de contrôle.

Dans le cas des PME et start-up en infraction, le montant le plus faible sera retenu.

La législation considère ces sanctions comme des garde-fous, et non pas comme des freins à l’innovation.

Ainsi des « bacs à sable réglementaires » pourront être proposés par les États membres, à destination des entreprises et PME innovantes. Sous la supervision d’une autorité de régulation, la conformité des produits et services en cours de développement pourra y être testée avant leur mise sur le marché.

Évaluez dès maintenant votre conformité à l’AI Act !

On vous aide avec plaisir !

6. Quelle est la date d’entrée en vigueur de la réglementation européenne sur l’IA (AI ACT) ?

L’AI Act est officiellement entré en vigueur le 1ᵉʳ août 2024, avec effet immédiat, pour tous les pays membres de l’Union européenne.

Pour laisser aux acteurs le temps de se préparer, le législateur a toutefois prévu une application progressive, en quatre étapes.

  • Dès le 2 février 2025, les pratiques à risque inacceptable sont interdites.
  • Six mois plus tard, le 2 août 2025, les obligations spécifiques aux modèles d’IA à usage général (GPAI) entrent en vigueur. Les autorités compétentes pour la mise en œuvre du règlement sont désignées par les États membres. La CNPD au Luxembourg et la CNIL en France assurent ces missions.
  • Le 2 août 2026, les exigences applicables aux huit domaines identifiés « à haut risque » entrent en vigueur.
  • Trois ans après sa publication, le 2 août 2027, l’AI ACT est appliquée dans son intégralité. Les systèmes d’IA à haut risque, intégrés à des produits réglementés, tels que les dispositifs médicaux ou les véhicules connectés, sont soumis dès cette date aux exigences de conformité.

7. Comment renforcer la conformité de votre organisation à l’AI ACT ?

Renforcer votre conformité à l’AI Act commence par le respect de quelques bonnes pratiques et exigences clés introduites par le texte : la gestion des risques, la maîtrise de l’IA, la transparence et la sensibilisation.

Commencez par effectuer un diagnostic de l’existant : analysez les usages actuels de l’IA par vos collaborateurs et vos clients comme au sein de vos outils de production. Quels sont les systèmes déjà intégrés à vos processus métiers ? (RH, marketing, ADV ou relation client).

Une fois cette cartographie dressée, vous pourrez identifier les risques associés à chaque IA utilisée, et identifier les écarts éventuels avec les exigences de l’AI ACT.

Ayez recours, autant que possible, à des solutions souveraines et maîtrisées. La maîtrise de l’IA est un pilier de la réglementation. Pour renforcer la confidentialité de vos données, vous pouvez héberger vos systèmes d’IA sur des serveurs et infrastructures maîtrisées, conformes aux exigences européennes en matière de cybersécurité.

Sensibilisez vos équipes : plusieurs passages du règlement mentionnent l’importance de la sensibilisation et de la formation aux enjeux de l’IA.

Dès l’article 4, les entreprises sont invitées à prendre « des mesures pour garantir, dans toute la mesure du possible, un niveau suffi sant de maîtrise de l’IA pour leur personnel […] en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation ».

Appuyez-vous sur des partenaires technologiques expérimentés. Abordez ces changements avec plus de sérénité en étant accompagné. Chez Rcarré, prestataire informatique engagé pour la protection des données et la cybersécurité, nos offres sont conçues pour renforcer votre conformité aux réglementations européennes en matière d’IA.

Rcarré, un prestataire informatique engagé pour la souveraineté et la sécurité des données.

La publication de l’AI Act marque un tournant dans la régulation des usages numériques en Europe.
Pour les entreprises, la conformité ne se limite pas à une case à cocher sur un formulaire : il s’agit d’aligner vos pratiques avec les nouveaux usages, et d’assurer, toujours, la sécurité, la pérennité et la conformité de vos activités.

Rcarré vous accompagne dans cette démarche, en proposant des solutions de cybersécurité, d’hébergement en Cloud public et privé, d’infogérance et de conseil, y compris auprès de secteurs réglementés (PSF).

Prenez contact dès aujourd’hui avec nos experts.

Articles similaires

6 étapes pour une IT responsable

#Digital

15/10/2025

Green IT : 6 actions pour une gestion informatique responsable.

Lire l'article

#Digital

13/04/2021

Exploitez le trésor de vos données grâce à la Business Intelligence 3.0 !

Lire l'article
Copilot

#Cloud

#Digital

05/04/2024

A la découverte de Copilot !

Lire l'article
Voir tous les articles

Comment pouvons-nous
vous aider ?

Remplissez ce formulaire et nous recontacterons le plus rapidement possible.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
Ce champ est masqué lorsque l‘on voit le formulaire.